本文将为您介绍云专线统一身份认证与权限管理。 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 1、系统策略 ：预置的系统策略，您只能使用不能修改。云专线相关的系统策略包含如下： CDA admin：云专线服务的管理者权限，包含云专线服务所有控制权限（不含订单类权限）； CDA viewer：云专线服务的观察者权限，包含云专线服务的列表页与详情页面权限； 2、自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

功能限制 最多可配置100条限流规则。 SQL限流功能当前仅支持SELECT、UPDATE、DELETE、INSERT关键字。 MySQL5.7（> 5.7.44.240100）或MySQL8.0（> 8.0.32.240100）支持“INSERT”类型限流规则，如需使用该功能，请联系客服申请。 当SQL语句匹配多条限流规则时，优先生效最新添加的规则，之前的规则不再生效。 在添加SQL限流规则之前，已经开始执行的SQL语句，不会被记入并发数。 若复制时延过大，针对只读实例，新增或删除限流规则不会立刻生效。 系统表不受SQL限流的限制。 不涉及数据查询的SQL不受限流的限制，例如：select sleep(); 暂不支持对存储过程、触发器、函数内的SQL做限流设置。 您可以在DAS执行如下SQL查看SQL限流规则的执行情况：select from informationschema.rdssqlfilterinfo; 当设置过多限流规则时，对性能有一定影响，使用后请删除多余的规则。 SQL限流规则不支持约束系统库。 5.6.51.4以下内核版本、5.7.33.5以下内核版本、以及8.0.25.220700以下内核版本的实例限流规则不区分用户类型，配置限流规则时建议包含表名，单独配置SELECT关键字会影响功能使用。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏选择“智能DBA助手 > 历史诊断”。 步骤 6 选择“全量SQL > SQL限流”。 步骤 7 打开 ，开启SQL限流开关。 说明 SQL限流开关打开后，限流规则才能生效。 步骤 8 单击“新建SQL限流规则”，配置SQL限流规则参数，参数说明请参见下表。 表 SQL限流规则参数 参数项 说明 SQL类型 支持选择四种类型：SELECT、UPDATE、DELETE、INSERT。 关键字 最多支持128个关键字，不区分大小写。支持以下两种方式输入关键字。 直接输入关键字：例如关键字是“select~a”，含义为：select以及a为该并发控制所包含的两个关键字，~为关键字间隔符，也就是说如果执行SQL语句中包含select与a两个关键字，那么命中此条并发控制规则。 原始SQL生成关键字：输入原始SQL再单击“生成关键字”，生成的关键字仅供参考，请谨慎使用。 关键字根据顺序匹配SQL语句。例如：a~and~b只会匹配 a>1 and b>2，而不会匹配 b>2 and a>1。 单个关键字首尾的空白字符会被忽略，包括' '、'n'、'r'、't'等。 最大并发数 输入最大并发数，与关键字匹配的SQL语句如果超过最大并发数会被拒绝执行。取值范围为0~1000000000。 kill满足规则的已有会话 勾选此选项后，会结束所有受SQL限流控制的账户所产生的会话。 root用户不受SQL限流限制的版本详见表 root用户请求不受SQL限流限制的版本。 步骤 9 确认无误后，单击“确定”。 结束

天翼云为您提供对象存储服务等级协议,请您点击查看。 自2021年11月11日起，新版对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）

本章主要介绍使用软件开发生产线快速搭建项目（ECS篇） 本文基于软件开发生产线内置代码仓库，介绍如何使用软件开发生产线完成项目的开发、构建与部署，实现持续交付。 本文采用的ECS部署，若需了解CCE部署方法，请参考使用软件开发生产线快速搭建项目（CCE篇）。 准备工作 1. 拥有天翼云帐号。若没有，请先注册天翼云帐号。 2. 已购买软件开发生产线。 3. 已购买弹性IP。 4. 已购买云主机，购买时的必要配置可参考下表，表中未列出的配置可根据实际情况选择。完成购买后，参考“《云主机用户指南》​>安全​>安全组​>配置安全组规格”添加端口22及8080的入方向规则。 表 云主机配置 配置分类 配置项 配置建议 ::: 基础配置 计费模式 选择“按需计费”。 基础配置 CPU架构 选择“x86计算” 基础配置 规格 选择2核4G或以上规格。 基础配置 镜像 选择“公共镜像 > CentOS > CentOS 7.6 64bit(40GB)”。 网络配置 弹性IP 选择“使用已有”。 高级配置 登录凭证 选择“密码”。 高级配置 密码 输入自定义密码。

本文介绍了数据管理服务实例登录的途径。 前提条件 要登录实例，需要用户已被授权该实例，或已加入实例所在的团队。 当前版本为基础版 授权实例：可联系超级管理员或者团队管理员把将该实例授权给您。 加入团队：可联系团队管理员把您加入到该实例所在的团队。 通过实例列表登录实例 1. 在右侧菜单栏中点击 实例列表。 2. 在列表中，右键实例名称 选择 登录实例 。 3. 在实例登录弹窗中输入数据库账号、密码进行登录，成功登录后可对实例进行查询、元数据管理等操作。 通过实例管理页登录实例 1. 在左侧菜单栏中，选择 数据资产 >实例管理。 2. 在打开的实例列表页选择某一实例，点击登录操作。 3. 在实例登录弹窗中输入数据库账号、密码进行登录，成功登录后可对实例进行查询、元数据管理等操作。

本节介绍了云硬盘扩容的流程。 1、登陆天翼云控制中心; 2、在系统首页，单击【存储 > 云硬盘】； 3、在【云硬盘列表】界面，选择需要扩容的云硬盘单击“扩容”； 4、选择需要新增的容量，点击“下一步”。 5、阅读《扩容须知》后，点击“我已阅读，继续扩容”。 6、确认扩容信息，点击“提交订单”。 7、支付后，完成磁盘扩容。

本章节介绍如何在HTTP API下创建路由。 概述 输入路由名称，匹配域名、路径、方法、header、query等参数，目标转发地址为服务列表里面配置的地址；路径匹配支持精确匹配和前缀匹配模式，精确匹配如/foo/bar匹配请求路径为/foo/bar的请求，前缀匹配/foo/bar/能够匹配/foo/bar、/foo/bar/baz、/foo/bar/a/b/c等请求。 操作步骤 1. 登录云原生API网关控制台。顶部菜单栏选择 "地域"，然后再左侧导航栏选择 "API"。 2. 选择已创建的HTTP API，单击API名称进入API详情页。 3. 单击 "创建路由"。 4. 在 "创建路由" 弹出框填写路由相关配置，并单击 "保存" 或 "保存并发布" 按钮，如您单击的是 "保存" 按钮，则需要在 "路由列表" 页，单击操作列 "发布" 按钮发布路由； 路由配置的规则之间是“与”的关系，必须全部满足才算匹配，路由配置项说明如下： 参数 说明 路由名称 路由名称，用于标识一条路由规则。API内需要保证唯一。 描述 路由描述。 域名 用于和请求中的域名进行匹配，不填则任何请求都可以匹配；可选项从域名管理中添加的域名选择。 路径 支持两种匹配方式： 等于：精确匹配。 前缀是：前缀匹配，如配置 /test，则能够匹配所有路径以 /test开头的请求。 方法 匹配请求中的HTTP方法。 优先级 当多个路由同时匹配一个请求时，路径匹配深度较大的路由优先；路径匹配相同的情况下，路由优先级高（数字大）的优先匹配。 请求头（header） 匹配请求中的HTTP header。 请求参数（Query） 匹配请求中的HTTP query参数。 Cookie 通过Cookie进行路由匹配，多个参数之间是“与”的关系。 是否启用参数规整化匹配 启用后支持对参数进行取模，并根据取模结果进行精确或者范围匹配。 参数类型 启用参数规整化匹配选择，支持Header、Query、Cookie。 是否Hash 启用参数规整化匹配选择，是否对参数进行哈希处理后再取模，哈希函数为Java String hashCode。 取模数值 启用参数规整化匹配选择，自定义填写取模数值。 标记类型 支持精确和匹配精确。 精确匹配，可用英文逗号分隔多个精确值。 范围：最大值和最小值均是闭区间，[min,max]。 所属实例 路由规则所属的实例。 场景 当前支持单服务、多服务、标签路由、mock路由、重定向和dubbo代理。 后端服务 根据选择的场景选择请求需要转发的后端服务。

本环节为您介绍 天翼云CTRDS MySQL迁移至自建人大金仓任务配置。 前提条件 自建人大金仓目标端版本为KingbaseESV7、V8版本 目标端权限要求 迁移模式 所需权限 全量迁移 数据库模式的owner角色 结构迁移 数据库模式的owner角色 增量迁移 用户为超级用户或者复制角色 稽核修复 数据库模式的owner角色 目标端配置请参照自建MySQL迁移至自建人大金仓。

本文介绍日志审计(原生版)的操作指引,帮助您快速上手使用日志审计(原生版)。 购买日志审计（原生版）后，在日志审计系统纳管资产并配置采集方法，实时不间断采集资产产生的海量日志信息，进行集中化存储，为用户提供日志安全存储、检索、审计、告警、报表等能力。 操作步骤 说明 相关文档 （必选）步骤一：购买并登录日志审计实例 需订购日志审计（原生版）后，进入控制台查看实例的状态为“运行中”，点击“登录”进入日志审计（原生版）实例中使用。 购买实例 设置安全组策略 （必选）步骤二：新增资产 在使用日志审计（原生版）之前，需要先纳管资产，以便日志审计（原生版）服务可以对您的资产进行日志管理。 新增资产 （必选）步骤三：配置资产采集 新增资产后，需要配置资产采集方法。 采集管理 步骤四：配置事件策略、告警策略 新增资产后，需要配置事件策略，日志审计（原生版）服务才可以获取业务所需的日志信息。 采集日志后，通过配置告警策略对采集到的日志进行告警判断，对符合告警策略的日志进行告警。 配置事件规则 配置告警规则 步骤五：查看日志、告警结果 通过列表和统计图的方式，更直观的展示采集到的日志情况。 通过告警等级统计数量模块、告警趋势图、告警出现次数、告警类型分布以及告警列表展示告警情况。 日志检索 检索告警 步骤六：配置数据报表 通过生成报表，可以将海量的日志数据转化为直观、易懂的图表和统计信息，帮助管理员快速了解系统的整体运行状况。 配置数据报表

批量修改应用发布配置 支持批量移动应用发布所属部门； 支持批量修改应用发布的文件管理、剪切板。X11转发功能。 1. 登录云堡垒机系统。 2. 选择“资源 > 应用发布 > 应用列表”，进入应用列表页面。 3. 在查询的应用列表中，勾选待修改配置的应用，单击左下角“更多”，展开批量操作项批量修改应用配置 4. 批量移动部门。 单击“移动部门”，弹出部门修改窗口。 移动帐号所属部门 选择目标部门。 单击“确定”，即完成配置修改。 5 批量修改更多选项。 单击“更多选项”，弹出更多选项修改窗口。 修改更多选项 勾选目标功能选项，可选择文件管理和剪切板。 单击“确定”，即完成配置修改。 查看和修改资源账户配置 1. 登录云堡垒机系统。 2. 选择“资源 > 资源账户”，进入资源账户列表页面。 3. 查询应用发布服务。 快速查询：在搜索框中输入关键字，根据资源账户、关联资源、主机地址、是否特权帐户等快速查询。 高级搜索：在相应属性搜索框中分别关键字，精确查询资源账户。 4. 单击目标资源账户名称，或者单击“管理”，进入帐户详情页面。 5. 查看和修改资源账户基本信息。在“基本信息”区域，单击“编辑”，弹出基本信息编辑窗口，即可修改资源账户的基本信息。 可修改信息包括“特权帐户”、“密码”、“帐户描述”等。 “关联资源”、“登录方式”、“资源账户”、“SSH Key”、“Passphrase”不支持修改。 6. 查看和修改帐户加入的组。 在“帐户加入的组”区域，单击“编辑”，弹出编辑帐户组窗口，可立即移动帐户的组。 在相应帐户组行，单击“移出该组”，可立即解除与该组关系。 7. 查看资源账户授7 查看资源账户授权用户。展开“授权用户”区域，可查看该帐户已授权的用户。

若用户不再使用态势感知（专业版）防护功能或增值包，可执行退订或一键取消操作。 包周期（包年/包月）计费模式：预付费方式。新购5天内的资源，支持每年10次5天无理由“退订”；使用超过5天的资源，“退订”需要收取手续费。 按需计费模式：按小时计费方式。资源即开即停，支持一键“取消”释放资源。 退订包周期专业版 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理控制台。 3. 单击右上角“专业版”，显示版本管理窗口。 4. 针对包周期购买的资产配额，单击“退订”，进入“退订管理”列表页面。 5. 在需要退订的实例所在行，单击“操作”列中的“退订资源”，进入“退订资源”页面。 6. 确认待退订资源信息，选择退订原因，并勾选退订确认。 7. 单击“退订”，在退订管理页面确认退订。 退订成功后，返回版本管理窗口，包年/包月计费的资产配额已取消。 退订按需专业版 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理控制台。 3. 单击右上角“专业版”，显示版本管理窗口。 4. 针对按需购买的版本，单击“取消”，一键释放按需计费的资产配额。 返回版本管理窗口，按需计费的资产配额资源已取消。

本节介绍了专属云（计算独享型）的开通步骤。 专属云（计算独享型）产品不同于其他服务，用户需要先申请开通专属云访问权限后，才能申请计算集群的资源。您可以等硬件设备部署完毕后一并申请开通专属云访问权限和专属云计算独享型资源。 1、登录天翼云控制中心，切换节点； 2、单击“控制中心”，选择【专属云】； 3、在申请页面查看申请流程。请与您的专属客户经理确定您的专属云开通需求，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询； 4、与客户经理沟通需求后，客户经理根据具体需求输出专属云部署方案。 5、由客户经理协助客户提交工单，做专属云服务开通和物理服务器发货。 6、待物理服务器到位后，专属云资源将在2天内完成开通。

本文主要介绍权限管理。 如果您需要对云服务平台上购买的DMS for Kafka资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DMS for Kafka的使用权限，但是不希望他们拥有删除Kafka实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用Kafka实例，但是不允许删除Kafka实例的权限策略，控制他们对DMS for Kafka资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DMS for Kafka的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 说明 DMS for Kafka的权限与策略基于分布式消息服务DMS，因此在IAM服务中为Kafka分配用户与权限时，请选择并使用“DMS”的权限与策略。 DMS for Kafka权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DMS for Kafka部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DMS for Kafka时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DMS for Kafka服务，管理员能够控制IAM用户仅能对实例进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，DMS for Kafka支持的API授权项请参见《分布式消息服务Kafka API参考》的“权限策略和授权项”章节。 如下表所示，包括了DMS for Kafka的所有系统权限。 表 DMS for Kafka系统权限 系统角色/策略名称 描述 类别 依赖关系 DMS FullAccess 分布式消息服务管理员权限，拥有该权限的用户可以操作所有分布式消息服务的功能。 系统策略 无 DMS UserAccess 分布式消息服务普通用户权限（没有实例创建、修改、删除、扩容）。 系统策略 无 DMS ReadOnlyAccess 分布式消息服务的只读权限，拥有该权限的用户仅能查看分布式消息服务数据。 系统策略 无 DMS VPCAccess 分布式消息服务租户委托时需要授权的VPC操作权限。 系统策略 无 DMS KMSAccess 分布式消息服务租户委托时需要授权的KMS操作权限。 系统策略 无 DMS Administrator 分布式消息服务的管理员权限。 系统角色 依赖Tenant Guest和VPC Administrator。 说明 系统策略有包含OBS授权项，由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的系统策略后，大概需要等待5分钟系统策略才能生效。 下表列出了DMS for Kafka常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表常用操作与系统策略的关系 操作 DMS FullAccess DMS UserAccess DMS ReadOnlyAccess 创建实例 √ × × 修改实例 √ × × 删除实例 √ × × 变更实例规格 √ × × 重启实例 √ √ × 查询实例信息 √ √ √

对比维度 数据库服务器备份 云主机备份 备份/恢复对象 部署MySQL或SAP HANA等数据库应用的云服务器 不包含数据库等应用的云服务器 备份粒度 云服务器 云服务器 存储库类型 数据库服务器备份存储库 云主机备份存储库 推荐场景 云主机部署了MySQL或SAP HANA等数据库，需要对包含数据库的云服务器进行备份。恢复时能够恢复全部的数据和应用配置。 云主机不包含数据库等应用，只需要对数据进行备份。恢复时能够恢复全部的数据。 如果包含MySQL或SAP HANA等数据库的云服务器只进行服务器备份，恢复时可能会出现部分应用配置恢复不完全，重新启用应用时可能会出现问题等情况。

本章节主要介绍翼MapReduce的查看部件包操作。 操作场景 完整的MRS集群由多个部件包组成，FusionInsight Manager单独安装某些服务前需要检查此服务对应的部件包是否已安装。 操作步骤 1. 登录FusionInsight Manager，选择“系统 > 部件”。 2. 在“已安装部件”查看所有部件列表。 说明 在“平台类型”列可查看部件已注册的OS及平台类型。 3. 单击部件名称左侧的，可查看部件包含的服务及其版本号。

此小节介绍云堡垒机的数据库控制策略。 数据库控制策略是用于拦截数据库会话敏感操作，实现数据库运维操作的细粒度控制。 新建数据库控制策略 授权用户登录策略关联的数据库资源，当数据库运维会话触发规则，将会拦截数据库会话操作。 数据库控制策略支持以下功能项： 1 支持按策略列表页策略排序区分优先级，排序越靠前优先级越高。 2 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。 允许执行：默认允许执行所有操作。当触发策略规则后，放行规则集中操作。 拒绝执行：触发该策略规则后，拒绝执行该操作，界面提示“操作“xxx”已被拦截”。 断开连接：触发该策略规则后，拒绝执行该操作，断开会话连接，界面提示“本次连接已被管理员强制断开！” 动态授权：触发该策略规则后，拒绝执行该操作，界面提示“操作“xxx”已被拦截，请提交数据库授权工单申请动态授权”，同时生成数据库授权工单。用户需提交工单，并审核通过后，才能继续执行该命令。 约束限制 仅专业版云堡垒机支持数据库运维操作审计。 仅针对MySQL和Oracle类型数据库，支持通过数据库控制策略设置操作细粒度控制。 前提条件 已获取“数据库控制策略”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“策略 > 数据库控制策略 >策略列表”，进入策略列表页面。 数据库控制策略页面 3 单击“新建”，弹出策略基本信息配置窗口。 选择一个策略，单击“更多 > 插入”，亦可新建数据库控制策略。配置完成后，在已创建的策略前新建一个策略。 4 配置策略基本信息。 策略基本信息参数说明 参数 说明 策略名称 自定义的数据库控制策略名称，系统内“策略名称”不能重复。 执行动作 策略控制用户在数据库的执行动作。 包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。 断开连接：当数据库运维会话执行策略生效的命令时，直接断开会话。 拒绝执行：当数据库运维会话执行策略生效的命令时，直接拒绝命令的执行。 动态授权：当数据库运维会话执行策略生效的命令时，直接拒绝命令的执行，需要向管理员提交审批，管理员通过之后才能执行。 允许执行：当数据库运维会话执行策略生效的命令时，允许执行。 有效期 策略生效时间和策略的失效时间。 时间限制 限制策略的生效时间段。 5 单击“下一步”，关联规则集。 选择规则集。详细规则集说明请参见下文管理规则集。 选择规则集 6 单击“下一步”，关联用户或用户组，选择用户或用户组。 当用户组关联策略后，新用户加入到用户组中会自动继承用户组的策略权限。 选择用户 7 单击“下一步”，关联资源账户或帐户组，选择数据库资源账户或帐户组。 当帐户组关联策略后，新帐户加入到帐户组中会自动继承帐户组的策略权限。 选择资源账户 8 单击“确定”，返回策略列表页面，查看新建的数据库控制策略。 用户在运维过程中，触发策略规则，即会被限制相关操作。 “关联用户”和“关联用户组”中用户需提交数据库授权工单权限，即已配置拥有数据库授权工单权限的“角色”。否则用户登录系统后无法查看数据库授权工单模块，不能提交工单获取权限。

本文将帮助您熟悉IPv4网关如何更换路由表。 操作场景 创建IPv4网关后，云资源（云主机、物理机等）默认可以进行公网访问；如果您需要管理从公网进入IPv4网关的流量，需要关联网关型路由表进行流量规划。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云和IPv4网关的创建。 IPv4网关已绑定路由表。 操作步骤 1. 进入“网络控制台”页面，点击“IPv4网关”选项。 2. 找到需要更换路由表的IPv4网关，点击该网关的名称，进入IPv4网关详情页。 3. 点击“更换路由表”，在更换路由表页面，选择需要更换的路由表。 4. 点击“确认”即可完成路由表的更换。

本文将帮助您熟悉IPv4网关如何绑定路由表。 操作场景 创建IPv4网关后，云资源（云主机、物理机等）默认可以进行公网访问；如果您需要管理从公网进入IPv4网关的流量，需要关联网关型路由表进行流量规划。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云和IPv4网关的创建。 操作步骤 1. 进入“网络控制台”页面，点击“IPv4网关”选项。 2. 找到需要绑定路由表的IPv4网关，点击该网关的名称，进入IPv4网关详情页。 3. 点击“绑定路由表”，在绑定路由表页面，选择网关类型的路由表。 4. 点击“确定”按钮，即可完成路由表的绑定。

本文帮助您了解云间高速(标准版)网络实例的加载操作过程。 操作场景 用户根据实际业务需求，规划网络连通情况，将需要相互通信的虚拟私有网络（VPC）实例加载到创建的云间高速（标准版）实例中。 操作步骤 1. 登录云间高速（标准版）管理控制台，并在侧菜单列表中选择“云间高速（标准版）”。 2. 在控制台首页，单击目标云间高速（标准版）实例操作列的“管理”或单击目标云间高速（标准版）实例名称。 3. 进入云间高速实例详情页面，单击“云企业路由器管理”。 4. 在云企业路由器列表中选择目标云企业路由器，单击云企业路由器名称。 5. 进入云企业路由器详情页面，单击“网络实例管理”。 6. 单击“加载本地网络实例”。 7. 在“加载本地网络实例”弹窗中，根据页面提示，填写参数。 8. 单击“确定”，完成网络实例加载。 注意 已加载到云间高速（标准版）的VPC实例不允许重复添加，已加载到云间高速（标准版）的子网也不允许重复添加。

本章节以NodeJS和Python语言为例，指导用户如何开发后端解析函数，获取上传的文件。 应用场景 端侧文件上传云主机器是Web和App应用的一类场景，例如服务运行日志的上报，Web应用图片上传等，函数可作为后端，结合APIG提供通用的API处理这类场景。 约束与限制 1. 单次请求上传文件大小不超过6MB。 2. 函数逻辑处理时间不超过15分钟。 操作步骤 1. 创建函数。 1. 登录函数工作流控制台，在左侧导航栏选择“函数 > 函数列表”，单击“创建函数”。 2. 选择“创建空白函数”，填写函数信息，完成后单击“创建函数”。选择运行时：Node.js 14.18。 3. 在“代码”页签，复制如下代码替换默认的函数代码，并单击“部署”更新函数。 const stream require("stream"); const Busboy require("busboy"); exports.handler async (event, context) > { const logger context.getLogger() logger.info("Function start run."); if (!("contenttype" in event.headers) !event.headers["contenttype"].includes("multipart/formdata")) { return { 'statusCode': 200, 'headers': { 'ContentType': 'application/json' }, 'body': 'The request is not in multipart/formdata format.', }; } const busboy Busboy({ headers: event.headers }); let buf Buffer.alloc(0); busboy.on('file', function (fieldname, file, filename, encoding, mimetype) { logger.info('filename:' + JSON.stringify(filename)) file.on('data', function (data) { logger.info('Obtains ' + data.length + ' bytes of data.') buf Buffer.concat([buf, data]); }); file.on('end', function () { logger.info('End data reception'); }); }); busboy.on('finish', function () { //这里处理数据 logger.info(buf.toString()); return { 'statusCode': 200, 'headers': { 'ContentType': 'application/json' }, 'body': 'ok', }; }); //APIG（专享版）触发器默认对数据进行Base64编码，这里解码 const body Buffer.from(event.body, "base64"); var bodyStream new stream.PassThrough(); bodyStream.end(body); bodyStream.pipe(busboy); } 2. 配置函数依赖。 1. 制作依赖包。代码中选择busboy库解析上传的文件，需要生成Node.js14.18版本对应的依赖包busboy.zip。如果您使用Node.js语言其他版本，请制作对应版本的依赖包。 2. 创建依赖包。在左侧导航栏“函数 > 依赖包”管理页面，单击“创建依赖包”，配置完成后单击“确定”。 3. 添加依赖包。进入uploadfile1函数详情页面，在“代码”页签最底部，单击“添加依赖包”。在“私有依赖包”的包源中，选择上一步创建的busboy依赖包，单击“确定”，完成依赖包的添加。 3. 配置APIG（专享版）触发器。 1. 在uploadfile1函数详情页面，单击“设置 > 触发器”，开始创建触发器。 2. 单击“创建触发器”，触发器类型可以选择“API 网关服务(APIG 专享版)”。安全认证：此处为方便测试，配置“None”，实际业务请选择更安全的认证方式，例如IAM认证等。请求协议：选择“HTTPS”。请求方法：在下拉列表中根据需求选择。后端超时（毫秒）：默认5000毫秒。 4. 端到端测试：以curl工具为例（curl F的方式主要用的是linux环境），您也可以选择postman等其他工具，在本地创建app.log文件，内容自定义。执行如下命令测试： curl iv {APIG（专享版）触发器URL} F upload@/{本地文件路径}/app.log

服务 服务名称 作用 stor:mdm 元数据管理服务（仅集群版支持） 管理整个系统的元数据。 stor:fc 故障转移控制服务（仅集群版支持） 进行系统健康检测，实现故障转移控制。 stor:ls 日志服务（仅集群版支持） 提供基于日志的数据同步功能。 stor:ds x 数据服务（仅集群版支持） 管理用户的文件数据块。 stor:cs 协调服务（仅集群版支持） 监视各服务器的状态，触发通知事件，确保集群服务高可用。 stor:ms 管理服务 处理请求信息，维护集群运行状态。 stor:ws 监控服务 监控各个服务的状态，并负责服务的启动。 stor:ps 协议解析服务 负责iSCSI协议解析与数据存储。 stor:ag 数据采集服务 负责采集性能数据。 stor:ua 升级监听服务 负责接收升级请求，执行升级相关操作。

接口功能介绍 根据id查询基线策略详情 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI GET /v1/sca/rule/query/detail/ 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 scaRuleId 是 Integer Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 id Integer 基线策略id 1 name String 基线策略名称 策略1 checkfrequency Integer 检测频率 1 checktime String 扫描时间,01:0002:00代表再每checkfrequency天01:0002:00之间进行扫描 01:0002:00 description String 描述 描述 isDefault Boolean 是否是默认策略 true是 false否 true createtime String 创建时间 20200101 00:00:00 ruleStatus Boolean 策略状态 true启用 false禁用 true hostCount Integer 检测服务器数量 1 scarulesHostsDtoList Array of Objects 检测主机列表 scarulesHostsDtoList scarulesScaDtoList Array of Objects 检测模板列表 scarulesScaDtoList scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL 表 scarulesScaDtoList 参数 参数类型 说明 示例 下级对象 scaruleid Integer 基线策略id 1 scaid Integer 基线模板id 1 createtime String 创建时间 20200101 00:00:00 type String 基线模板类型 CTYUNSTANDARD天翼云标准 CIS国际标准 CTYUNSTANDARD 表 scarulesHostsDtoList 参数 参数类型 说明 示例 下级对象 scaruleid Integer 基线策略id 1 agentguid String agentguid guid1 createtime String 创建时间 20200101 00:00:00

本节介绍翼加密的加密桌面相关管理。 开启加密保护 1. 点击“文件加密”—“加密桌面管理”； 2. 批量勾选列表中的桌面； 3. 点击列表顶部的“开启加密保护”按钮，即可开启AI云电脑加密保护。 开启加密保护后，AI云电脑将进行全盘扫描，直到所有的目标文件类型都完成加密。扫描方式分为两种： 强制扫描 强制扫描期间AI云电脑无法登录使用，直到AI云电脑完成全盘加密。 后台扫描 AI云电脑将在后台进行静默加密扫描，期间AI云电脑可以正常登录使用。 注意 开启加密保护后，AI云电脑内已有的所有目标文件会被加密保护。并且后续AI云电脑编辑保存、接收、下载的所有目标类型文件将被自动加密保护。 更改桌面的加密策略 点击“文件加密”—“加密桌面管理”，在加密桌面列表中可以单个/批量对AI云电脑进行更改策略的操作。 更改策略时，可能存在以下几种情况： (1) 使用该加密策略的已加密AI云电脑被取消分配策略。出现这种情况时系统会提示请先将生效该策略的AI云电脑解密后，再重新分配策略。 (2) 策略分配的范围内，存在已经使用其他加密策略的AI云电脑，并且两个加密策略的范围配置和加密强度不同。出现这种情况时系统会提示请先将原策略的AI云电脑解密后，再重新分配策略。 (3) 策略分配的范围内，存在已经使用其他加密策略的AI云电脑，但两个加密策略的范围配置和加密强度一致。出现这种情况时可以直接完成策略的重新分配。

本节介绍了云容器引擎的计费类常见问题。 容器计费项和计费方式是什么？ 支持包年包月和按需计费2种方式，详情可查：点这里 容器如何定价？ 收费项包括：集群管理费、IaaS资源费等, 详情可查：点这里 容器创建的节点是否支持按需转包周期？ 目前不支持按需与包周期互转。 如何为购买的容器实例续费？ 为防止资源到期或者浪费，已经购买包月实例的用户，可执行续费操作，延长容器实例的有效期，也可以设置到期自动续费的相关操作。 开通的容器实例资源何时生效？ 天翼云容器资源在客户支付成功之后，系统经过初始化完成后即可生效使用。 包周期集群到期可以直接删除吗？ 按天翼云规则，到期实例有15天冻结期，期间用户可以发起续订，集群实例会恢复。超过15天冻结期，实例会注销。 如何退订我的容器集群？ 进入控制台，从集群管理列表，可以发起退订。详细可查看：删除集群

本页为您介绍数据库专家服务按次计费的资费、方式、周期及场景等。 标准资费中国内地 数据库专家服务的基础服务和保驾护航服务的计费方式为按次计费，标准资费如下表： 产品规格 标准资费（元） 单位 基础服务安装部署 7000 实例 基础服务健康巡检 7000 实例 基础服务应急响应 9000 实例 基础服务性能调优 9000 实例 保驾护航高级专家 15000 天 保驾护航资深专家 20000 天 计费方式 按购买的实例数 单价按次计费，或按购买的服务天数 单价按次计费。 计费周期 订购时一次性收费。 计费场景 适用于客户购买数据库专家服务的基础服务或保驾护航服务场景。

全局时钟（Global Timestamp） 全局时钟在分布式数据库中的作用是通过提供统一的时间参考，确保系统内各组件协同工作时的时间同步，从而保障数据的一致性和系统的正确运行。如下为全局时钟的架构和分布式并发记录结构。 由GTM提供全局唯一的事务id和全局事务快照。当事务执行时，会话携带全局事务id，各节点通过全局事务id来判断数据的可见性。 全局时钟通过分布式并发记录来保障各组件协同工作时的时间同步。分布式并发控制核心点如下： 1. 逻辑时钟从零开始内部单向递增且唯一，由GTM维护，定时和服务器硬件计数器对齐，从而保证时钟源稳定。 2. 多个GTM节点构成集群，主节点对外提供服务；主备之间通过日志同步时间戳状态，保证GTS核心服务可靠性。 3. 单台物理机每秒能够处理1200万QPS，几乎满足所有业务场景。 4. 段页式存储的MVCC是整个并发控制的基础。同时约定：事务的gtsstart > gtsmin并且gtsmax没有提交或者gtsstart < gtsmax才能看到对应的事务。 两阶段提交（Two Phase Commit） 分布式事务执行时，由CN节点发起两阶段提交事务，并协调其它节点（参与者）执行事务，经过表决、执行两个阶段各参与者返回的状态，决定分布式事务需要提交或回滚。 两阶段提交被认为是一种一致性协议，用来保证分布式系统数据的一致性。绝大部分的关系型数据库都是采用两阶段提交协议来完成分布式事务处理。 两阶段提交事务在执行时分为两个阶段，第一阶段为表决阶段Prepare，第二阶段为执行阶段Commit，由协调者发起，并根据所有参与者返回的状态，判断是否需要执行下一阶段，Commit提交或回滚事务。 1. 表决阶段Prapare：所有参与者都将本事务能否成功的信息反馈发给协调者。 2. 执行阶段Commit：协调者根据所有参与者的反馈，通知所有参与者，步调一致地在所有分支上提交或者回滚。 两阶段提交机制的潜在问题： 1. 数据不一致问题：当部分参与者故障，各参与者在两阶段提交事务中的状态就会出现不一致的情况，如：部分节点commit，部分prepare，或部分commit，部分rollback，这都会导致该事务更新的数据在所有参与者中出现不一致。 2. 同步阻塞问题：两阶段提交过程中的一些步骤是同步阻塞的，没有超时机制，可能会有长时间阻塞的问题。同时，如果异常时，有prepare状态的两阶段事务残留，残留事务仍会持有锁，会阻塞后续会话对这些数据的访问和更新。 3. 协调节点单点故障问题：如果协调节点故障后短时间不能恢复，参与者的两阶段事务会一直残留，导致出现数据不一致、资源阻塞的问题。 TeleDB在内核处理机制，以及异常处理两个角度，对两阶段提交进行了优化，确保在两阶段事务异常时能自动恢复，不会出现上述问题。 内核处理机制优化 在两阶段事务执行过程中记录信息，用于异常时恢复残留的两阶段事务； 避免进入“Commit Prepared”的两阶段事务在所有参与节点被回滚。 分布式死锁检测模块：该模块对数据库状态进行实时监测，当发现存在长时间等待依赖时自动开启分布式死锁检测，经过节点间信息传递和算法分析可快速检测并解除死锁环。检测算法不影响系统查询效率，用户对死锁检测过程无感知。分布式死锁主要分为四个模块，分别为锁等待依赖关系的管理、线程模型模块、检测算法模块和监控与追踪模块。 锁等待依赖关系的管理：对分布式数据库中出现的长时间等待事务依赖对进行检测与上报。 线程模型模块：包含DDS专用线程工作模式和方法的设计、实现。 检测算法模块：分布式死锁检测的执行算法，根据上游节点发送的消息进行两阶段算法推演，再发送消息给下游节点。 监控与追踪模块：包含DDS依赖消息产生和传播的追踪日志、各节点依赖可视化、最近死锁记录保存。 其优点是内核原生支持、自动检测并解锁、分布式算法，需要传输的信息量少、网络资源消耗少、解锁速度快、无死锁误判、支持优先级解锁和抗丢包性强。 异常处理优化：提供两阶段事务的自动处理插件，在监测到两阶段事务残留时，通过访问两阶段事务执行过程中记录的信息，来判断各个参与节点的状态，根据状态参照对应规则，对残留事务进行清理，恢复各节点数据到全局一致。 PREPARED状态 COMMIT状态 ROLLBACK状态 异常阶段及原因 动作 有 有 无 commit阶段异常参与节点故障 COMMIT剩余事务 有 无 有 prepare阶段异常参与节点宕机 ROLLBACK剩余事务 有 无 无 prepare阶段异常发起节点宕机 ROLLBACK剩余事务

本章节主要介绍天翼云物理机的功能。 订购及管理 物理机服务的开通/订购需通过联系客服或客户经理的方式，由天翼云后台进行开通处理，并可在控制台对物理机进行开机、关机、重启等管理操作。 提供多种操作系统 支持常用的Windows、Linux操作系统，用户订购物理机时可指定操作系统类型。 物理机与云主机网络互通 物理机服务支持部署在VPC中，支持IPv6特性，可实现物理机与物理机之间、物理机与云主机之间网络互通，满足不同业务场景对物理机、云主机部署的需求。 物理机支持多种网络类型：VPC网络、高速网络、IB网络、自定义VLAN网络等。 物理机与云存储 支持挂载云硬盘，在线扩容，解决了传统物理服务器受限于本地硬盘容量的问题。 支持挂载共享云硬盘，由多台服务器并发读写访问，满足企业核心系统集群部署的需求。 物理机镜像 物理机支持公共镜像、私有镜像和共享镜像。用户可通过选择公共镜像快速发放物理机，免操作系统安装，通过定制的私有镜像可以一键创建所需要的物理机服务器，节省重复配置物理机的时间。 物理机生命周期管理 支持物理机和HPC生命周期管理，可以通过公有镜像或者私有镜像进行快速部署及发放，网络自动配置，发放完成即可使用。 混合部署，灵活组网 物理机在可用分区内，内网互通。通过VPC实现与外部资源的互通，同时可以结合ECS等服务混合部署、灵活组网，满足用户多种复杂场景的不同诉求。

多活数据面性能指标如何？ 应用容灾多活协同其他云产品，用户可以通过查阅天翼云官方文档，了解使用到的产品组件指定规格实例的性能指标。 对于引入多活探针的性能变化，同城场景RT基本没增长，异地场景RT约有1~10ms增长，取决于具体业务与物理距离。 业务如何尽可能平滑地过渡到双活架构？ 业务应用从原有架构向双活扩展时，应以标准化的多环境多步骤的流程进行渐进式迭代，尽可能避免产生大范围影响，从而实现平滑过渡。 多环境 ： 应用发布按标准的日常、预发、灰度、生产等流程进行上线。 多步骤 ： 1. 分析业务现状，明确流量、数据和代码改造点，包括服务拆分、数据拆分、流量染色等。 2. 规划物理架构，开通目标区域、可用区、网络和中间件等资源。 3. 完成架构升级，根据不同改造点兼容性，业务原集群多版本迭代更新。 4. 部署双活集群，对新集群进行复影流量、灰度流量等业务正确性验证。 5. 应用分层切换，微服务、消息、数据库等组件切换多活规则。

通过手动执行备份策略,可立即对该策略下的云主机进行备份。 说明 如果备份策略中的云主机正在执行备份任务，则无法手动执行备份策略。 如果周期性备份调度计划开始时，手动备份任务仍未完成，则系统自动取消当次周期性调度任务。建议手动执行备份策略的时间与周期性备份的备份策略执行时间间隔≥3小时。 前提条件 已创建至少1个备份策略，且备份策略中至少绑定了一个云主机。 操作步骤 1.登录天翼云控制中心； 2.在产品列表中选择“存储> 云主机备份”； 3.单击“管理备份策略”，进入“管理备份策略”页面； 4.在需要手动执行备份的云主机备份策略区域右上角，单击“执行”； 5.单击“确定”。

本章节介绍数据库安全欠费说明 欠费说明 对于包年/包月DBSS资源，用户已经预先支付了资源费用，因此在帐户出现欠费的情况下，已有的包年/包月DBSS资源仍可正常使用。然而，对于涉及费用的操作，如新购DBSS、升级DBSS规格、续费订单等，用户将无法正常进行。 说明 天翼云根据客户等级定义了不同客户的宽限时间和保留时长。 欠费后需要及时充值，您可以在管理中心>费用中心中点击“充值”按钮进行续费，并且可以设置“可用额度预警”功能，当可用额度、通用代金券和现金券的总额度低于预警阈值时，系统自动发送短信和邮件提醒。

本文详细介绍到期与欠费说明。 到期 AOne边缘安全加速平台的基础套餐为包年包月的销售品，在资源到期前7天、3天、1天会以邮件的方式通知客户资源即将到期；在到期当天会以邮件、站内信和短信的方式通知客户。 客户选择订购套餐或资源包，如果客户拟在服务期限届满或资源包抵扣完成后继续使用服务，客户应当及时续订套餐、资源包或开通按需计费。否则，天翼云将在服务期限届满或资源包抵扣完成后暂停向客户提供服务目冻结资源，天翼云有权立即释放客户的资源，并删除相关数据。 产品/服务冻结时：资源将被限制访问和使用，会导致您的业务中断。 产品/服务解冻时：资源将被解除限制，但是需要您自行去自助控制台检查并恢复业务。 产品/服务释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 欠费 在天翼云账户中没有费用并欠款的情况下，天翼云会以短信的方式通知客户充值；如果客户在48小时内未付清所欠金额，则将关停客户的边缘安全加速平台。 服务到期，关停服务 关停客户的边缘安全加速平台安全与加速服务，天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。

天翼云AOne 安卓版本应用权限列表 权限名称 权限说明 具体场景或目的 INTERNET 允许应用访问网络 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 ACCESSNETWORKSTATE 检测网络连接状态 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 ACCESSWIFISTATE 获取WIFI连接状态 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 REQUESTINSTALLPACKAGES 允许进行应用安装 用于更新应用，检测用户是否具备使用产品功能的条件，优化体验 REQUESTIGNOREBATTERYOPTIMIZATIONS 忽略电池优化 允许VPN服务能够在后台运行服务（国内手机系统可能无法生效，需要用户到设置中手动开启，不同机型出来的权限蒙版不一样，有一些机型因为不需要用户确认没有弹出蒙版） MODIFYAUDIOSETTINGS 修改音频设置 会议服务：设置音频模式 RECORDAUDIO 录制音频 AI应用中心：以语音的方式与AI进行交互、语音输入，收集语音信息（语音转文本信息） 音视频会议：发言、传输音视频流 CAMERA 拍摄照片和视频 AI应用中心：拍摄图片，收集图片信息 消息服务：使用摄像头拍照发送图片或视频 音视频会议：开启视频、设置虚拟背景 邮件服务：使用摄像头拍摄照片 消息服务：使用摄像头拍摄照片 个人信息：拍照上传头像 WAKELOCK 唤醒设备 保持设备唤醒状态，避免某些场景下系统休眠之后导致的VPN连接异常情况。 WRITEEXTERNALSTORAGE 写入外部存储 消息服务：发送照片、文件 邮件服务：上传附件、保存邮件附件至本地、从本地选择文件插入邮件 消息服务：下载文件，保存图片 READEXTERNALSTORAGE 读取外部存储 日程服务：在日程中添加文件 消息服务：发送照片、文件 邮件服务：上传附件、保存邮件附件至本地、从本地选择文件插入邮件 消息服务：发送图片、发送文件 MANAGEEXTERNALSTORAGE 管理所有外部存储 文件管理增强（android10以上版本申请，权限等同于WRITEEXTERNALSTORAGE 和READEXTERNALSTORAGE） READMEDIAIMAGES 读取媒体图片 消息服务：从相册选择图片发送 AI应用中心：从相册上传照片 邮件服务：从相册选择图片插入邮件 USEBIOMETRICUSEFINGERPRINT 生物识别/指纹 使用生物识别/指纹进行登录 BLUETOOTHBLUETOOTHADMIN BLUETOOTHCONNECT 蓝牙权限 会议中使用蓝牙设备 SYSTEMALERTWINDOW 悬浮窗权限 会议服务：用于会议的悬浮窗功能 READPHONESTATE 读取电话状态权限 会议服务：用于来电时自动禁用会议服务的扬声器和麦克风